Sysmon jest monitorem wewnętrznej aktywności Windowsa, działającym jako usługa systemowa i sterownik. Śledzi aktywność systemu plików, Rejestru, stosu sieciowego i działających aplikacji. Uruchamia się na wczesnym etapie rozruchu systemu, wychwytując praktycznie wszystkie detale.
